我们还想强调,上述攻击场景不仅限于本地IDE,而且安全重要性在于所使用的工作流和工作区信任本身,无论开发者在容器或支持在线IDE的VM中执行实际生成/编译的情况如何 。一旦工作区被标记为可信,并且生成脚本被修改,它可能会在环境中触发不需要的代码执行,并导致IDE具有访问权限 。以下是开发者可以记住的一些最佳安全实践:
使用安全配置的CI/CD平台,在具有适当的基于角色的访问控制(RBAC)的外部设备或服务上执行生成,只有授权人员才能更改生成脚本;
在集成到项目之前,检查外部源代码和生成脚本;
避免在审计之前盲目使用开箱即用的解决方案,特别是当这些解决方案在社区中没有广泛使用或来自未经核实的来源时;
定期跟踪变更并进行审查 。
参考及来源:https://www.trendmicro.com/en_us/research/23/a/attacking-the-supply-chain-developer.html
推荐阅读
![[综艺节目]早应该被停播的几个综艺节目,不仅内幕让人气愤,甚至还误导青少年](http://img88.010lm.com/img.php?https://image.uc.cn/s/wemedia/s/2020/4d71220ab187d1a1594708332a467e22.jpg)
- 干货| 如何实现VLAN间的通信
- RotaJakiro 双头龙,一个至少潜伏了3年的后门木马
- 运维工程师必知的十项Linux常识
- TouchEn nxKey键盘加密应用程序出现的许多漏洞很容易使其被黑化
- 答案是什么?ChatGPT和谷歌的搜索之战
- ChatGPT爆火, 是AI的“狂飙”吗
- 初学者轻松学习 JavaScript 的路线图
- 一键恢复和重装系统的区别是什么
- 如何区分市面上的液晶显示屏?找到最适合你的液晶显示屏!
- 可以提高 ssh 安全性的几个配置